背景
当用代码或者postman访问一个网站的时候,访问他的任何地址都会返回<script src="/_guard/auto.js"></script>,但是从浏览器中访问显示的页面是正常的,这种就是网站做了反爬虫策略。本文就是带大家来破解这种策略,也就是反反爬虫。
思路
寻找关键参数
既然在浏览器中访问没问题,那我们就把浏览器的请求复制下来,看是哪些参数让请求可以正常访问,将curl复制到postman中,把请求头一个个去掉,看去掉哪些请求头会让请求无法正常访问
最终发现是Cookie和User-Agent一起使得请求合法,如下
- Cookie:guardret=BQgG; __51vcke__K1rw5p3uprPRftXo=21f5dde6-91d9-520b-a429-4a6e99d44523; __51vuft__K1rw5p3uprPRftXo=1720509084853; guardok=9DltyP8ERJnWJaolNInDWV03ft30EOzKt4tqyEk7ovRpu+YeNMKAWDqyyT9DwacZaxy9brXjs+8M+k2pbxhhWw==; PHPSESSID=khol0nbd4esktf48ddmecbidb6; __vtins__K1rw5p3uprPRftXo=%7B%22sid%22%3A%20%22045d7540-b7de-543b-830f-f3cb437c85bd%22%2C%20%22vd%22%3A%201%2C%20%22stt%22%3A%200%2C%20%22dr%22%3A%200%2C%20%22expires%22%3A%201721135512843%2C%20%22ct%22%3A%201721133712843%7D; __51uvsct__K1rw5p3uprPRftXo=7
- User-Agent:Mozilla/xxx
可以看到Cookie中有好几项,我们继续在Cookie中删除,发现只有guardok有用,其他的都没用,所以最终有用的请求头如下
- Cookie:guardok=9DltyP8ERJnWJaolNInDWV03ft30EOzKt4tqyEk7ovRpu+YeNMKAWDqyyT9DwacZaxy9brXjs+8M+k2pbxhhWw==
- User-Agent:Mozilla/xxx
js混淆
这么看来关键的东西就是这个guardok,那我们看看这个是什么时候生成的,把浏览器的cookie删除,再打开开发者模式
但是发现在开发者模式下,这个js在无限的debug,这是一个很常见的防debug的代码,就是定时循环执行含有debugger的代码,如果没在开发者模式那么debug就不会生效(遇到debugger断点不会停),但如果是在开发者模式下就会停到断点处,并且这个方法还会不断的自己调自己直到下一次定时时间,所以即使我们调试通过这个断点也会立刻到这个断点处。
由于这个代码的存在我们不能查看network,因为会一直卡在debuger。那我们就直接用postman访问这个js看看guardok是不是在这个js中生成的。
但是这个js返回的内容还是混淆过的,直接看是看不懂的,比如他会把 "location" 混淆成 _0x10a691(0x215, 'lIIz'),其实这个的意思是将一个初始值_0x10a691 进行位偏移,偏移后就变成了另一个值"location" ,并且这个在浏览器上运行也是能正常运行,只不过加大了我们的翻译成本。
分析关键参数guardok生成过程
既然翻译成本大,那我就先确认这个guardok是否和这个js有关,别翻译了半天发现跟他没关系,那心态就崩了。这个也好确认,在浏览器上访问一次看这个guardok是什么时候生成的就行,但因为这个debbuger的问题我们不能直接在浏览器上访问,所以就抓个包看看这个接口就行,比如使用Charles。
通过抓包可以看到,同一个接口访问了两次
- 第一次访问,在响应头中的cookie里返回了guard,并且返回的报文体中返回了那个js文件
- 第二次访问,在响应头中的cookie里返回了guardok,并且返回的报文体中返回了正常的页面数据
可以看到第二次访问的请求中并没有任何地方携带guardok,但是在响应头中有guardok。那么就说明第二次的请求中有参数会传给后端,由后端生成guardok并放到Set-Cookie中,后续的请求就都携带了guardok。
查看第二次的请求只是在请求的cookie中多了guardret和guard这两项。由此可以知道是根据guardret和guard去服务端换取guardok,而guard会在第一次请求的响应中返回到Set-Cookie,无需客户端手动生成。而guardret则只可能会由第一次请求返回的那个js中生成,那我们只需在js中把生成guardret的算法找出来就行了
反js混淆
到这里也就只能对js进行反混淆了,只有知道生成guardret的算法,那一切就都通了。我试过好多反混淆工具都无法解析出实际的代码。没办法只能花时间一点点的还原了。重头戏来了,还原的方法其实并不难,相反还很简单,就是苦力活。比如这个方法
var _0xd750ee = _0x5391; function setRet(_0x34d4ed) { var _0x10a691 = _0xd750ee, WtHInZ = { 'GIeQp': function (callee, _0xf9e2d4) { return callee(_0xf9e2d4); }, 'LYVKf': 'undefined', 'fOOLQ': function (_0x396e94, _0x39a709) { return _0x396e94 - _0x39a709; }, 'FARua': function (_0x4be905, _0x42316e) { return _0x4be905 * _0x42316e; }, 'ascvk': function (callee, _0x10b8fa, _0x4313da) { return callee(_0x10b8fa, _0x4313da); }, 'wqePU': function (callee, _0x1a7786) { return callee(_0x1a7786); }, 'dYcOv': _0x10a691(0x201, '0@TB') }, _0x3a9f4b = _0x34d4ed[_0x10a691(0x1ee, '6%cq')](0x0, 0x8), time_num_plain = _0x34d4ed['substr'](0xc), _0x305bd1 = WtHInZ[_0x10a691(0x1c8, '2qE2')](parseInt, time_num_plain['substr'](0xa)); typeof window === WtHInZ[_0x10a691(0x1dd, 'WPXd')] && (_0x305bd1 = 0x2); var _0x552e00 = WtHInZ[_0x10a691(0x1da, 'QiI*')](WtHInZ[_0x10a691(0x1d2, 'p7[8')](_0x305bd1, 0x2) + 0x11, 0x2), encrypted = WtHInZ[_0x10a691(0x25a, '!koh')](x, _0x552e00[_0x10a691(0x275, '6f6c')](), _0x3a9f4b), guard_encrypted = WtHInZ[_0x10a691(0x24e, 'lIIz')](b, encrypted); document[_0x10a691(0x1f7, 'hlsZ')] = WtHInZ[_0x10a691(0x1eb, 'sPw2')] + guard_encrypted, window[_0x10a691(0x215, 'lIIz')]['reload'](); }
里面的很多代码都看不出是啥东西,不过没关系,我们可以让浏览器帮我们翻译,首先把无限debug的代码先去掉,改成空方法即可,如下
function debuggerProtection(counter) { }
然后在一个文本里加入script标签, <script type="text/javascript"> </script>,再把修改后的js代码复制到标签中间,另存为.html文件。双击该html文件再使用开发者工具即可。
然后我们就一步步的用浏览器debug即可,比如 WtHInZ[_0x10a691(0x1d2, 'p7[8')](_0x305bd1, 0x2)
1.文本翻译
首先翻译 _0x10a691(0x1d2, 'p7[8'),因为var _0x10a691 = _0xd750ee,所以_0x10a691(0x1d2, 'p7[8')也就是_0xd750ee(0x1d2, 'p7[8'),那我们只需要在浏览器中把它打印出来即可,alert、debug、console打印都行,在这里我们用debug,随便找个地方执行,如下打印个断点查看
可以看到_0x10a691(0x1d2, 'p7[8')为"FARua"
2.文本替换
WtHInZ[_0x10a691(0x1d2, 'p7[8')](_0x305bd1, 0x2) 就等于 WtHInZ["FARua"](_0x305bd1, 0x2)
3.方法替换
WtHInZ是一个字典值,里面的key对应里各种方法或者文本,key为"FARua"所对应的是一个方法如下
function (_0x4be905, _0x42316e) { return _0x4be905 * _0x42316e; }
可以看出也就是一个简单的两个数相乘,所以WtHInZ["FARua"](_0x305bd1, 0x2)= _0x305bd1*0x2。
4.最终替换
到这里就完成了对WtHInZ[_0x10a691(0x1d2, 'p7[8')](_0x305bd1, 0x2)的翻译。即WtHInZ[_0x10a691(0x1d2, 'p7[8')](_0x305bd1, 0x2) = _0x305bd1*0x2
其中的_0x305bd1是一个变量名,由上一步计算出来的,不用管
这样一步步把需要的代码就还原出来了,其实里面大部分代码是没用的就是为了混淆我们,所以我们不用都翻译,只要翻译自己感觉像的那几个方法就行。翻译完就是这样的
function setRet(_0x34d4ed) { var _0x10a691 = _0xd750ee, WtHInZ = { 'GIeQp': function (callee, _0xf9e2d4) { return callee(_0xf9e2d4); }, 'LYVKf': 'undefined', 'fOOLQ': function (_0x396e94, _0x39a709) { return _0x396e94 - _0x39a709; }, 'FARua': function (_0x4be905, _0x42316e) { return _0x4be905 * _0x42316e; }, 'ascvk': function (callee, _0x10b8fa, _0x4313da) { return callee(_0x10b8fa, _0x4313da); }, 'wqePU': function (callee, _0x1a7786) { return callee(_0x1a7786); }, 'dYcOv': "guardret=" } _0x3a9f4b = _0x34d4ed["substr"](0x0, 0x8) time_num_plain = _0x34d4ed['substr'](0xc) _0x305bd1 = parseInt(time_num_plain['substr'](0xa)); var _0x552e00 = _0x305bd1 * 0x2 + 0x11 - 0x2 encrypted = x(_0x552e00["toString"](), _0x3a9f4b) guard_encrypted = btoa(encrypted); document["cookie"] = "guardret=" + guard_encrypted, window['location']['reload'](); }
可以看到guardret确实是在这个js中生成的,并且生成的算法也比较简单就是一些加减乘除加上异或操作等,生成后就可以使用guardret和guard去服务端换guardok了。由此这个破解反爬虫策略也就完成了
完整破解实战
下一篇文章我会实战破解两个这种反爬虫策略的网站,并用java实现